NUXOA | Ihre IT in der Cloud: kosteneffizient und zukunftssicher

Passkeys: Einfacher und sicherer Login ohne Passwort

Allgemein

Passkeys: Einfacher und sicherer Login ohne Passwort

Tauchen Sie ein in die Welt der neu modernen Authentifizierung mit Passkeys: Erfahren Sie, wie Passkeys die Online-Welt revolutionieren können und erkunden Sie die technischen Backgrounds jener fortschrittlichen Sicherheitsmethode. Adieu Passwörter, adieu Phishing. Hallo, neuer und origineller Login via Passkey! Einfach, schnell und sicher.

In 2012 wurde die FIDO-Alliance erschaffen. Das Ziel: Einen lizenzfreien neuen Standard für die Authentifizierung im Web entwerfen (FIDO = Fast IDentity Online). Der US-amerikanischen Organisation gehören etliche „Big Player“ der Tech-Industrie an, darunter Google, Microsoft, Apple, Samsung, Alibaba wie auch Amazon. Die Einrichtung hat eine innovative Technologie erschaffen, welche wir in diesem Artikel genauer unter die Lupe nehmen wollen: Identitätsüberprüfung mittels Passkeys. Das Ziel der FIDO: Schnelle Online-Ausweisung. Passwörter sollten abgeschafft und Logins zwar bequemer, jedoch gleichzeitig auch sicherer gemacht werden. Doch wie soll das bloß funktionieren?

Bye Kennwörter: Was sind eigentlich Passkeys?

In einer gegenwärtigen Analyse von 1Password gab jeder (!) Befragte an, bereits einmal direkt oder indirekt mit Phishing in Berührung gelangt zu sein. Da verwundert es nicht, dass der Hauptanteil der Befragten eine sichere Login-Methode für ihre Online-Accounts für sehr wichtig hält. Die Zwei-Faktor-Authentifizierung (2FA) klingt hier zwar in der Systematik nach einer guten Lösung, hat aber einen größeren Haken: Man kann sich unheimlich leicht selbst heraus sperren aus seinen persönlichen Konten. Von dem temporären Aufwand mal ganz zu schweigen. Einfach sowie „smooth“ ist der 2FA-Login auf keinen Fall. Darüber hinaus werden natürlich ebenso Hacker immer smarter: Cyber-Kriminelle haben in den zurückliegenden Jahren schon Maßnahmen gefunden, SMS abzufangen, sowieso an den zweiten Faktor für die Authentifizierung zu gelangen. Wirklich geschützt wäre ein Login also nur, wenn es gar keine Zugangsdaten gäbe, welche man ausspionieren kann. Und exakt an jener Stelle kommen Passkeys ins Spiel!

Passkeys, ebenso bekannt als Sicherheitsschlüssel oder Authentifizierungsschlüssel, werden zunehmend zu einem wesentlichen Glied moderner Sicherheitsinfrastrukturen. Im Gegenteil zu herkömmlichen Passwörtern bieten diese eine erweiterte Sicherheitsebene, indem selbige eine physische Komponente in die Authentifizierung einbeziehen. Die Eingebung hinter Passkeys ist, dass der Nutzer Zutritt zu all den eigenen Online-Konten im Internet hat, ohne dass man sich jedes Mal mit Loginnamen sowie Kennwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, frei von Zugangsdaten auszukommen, welche ausspioniert werden könnten. Selbige wurden erschaffen, um eine passwortlose Anmeldung bei Homepages und Apps zu gewähren und das Benutzererlebnis einfacher wie auch phishing-sicher zu formen.

Aber wie gelingt das? Also, bei der Erstellung eines Profils bei einem Online-Dienst, welcher Passkeys fördert, werden zwei Schlüssel erstellt, welche untereinander mathematisch verknüpft sind:

1. Ein öffentlicher Schlüssel – dieser wird mit dem Dienst, sagen wir mal einer Webseite oder einer App geteilt und dient dazu, Informationen zu codieren, welche lediglich der private Schlüssel entschlüsseln kann.
2. Einen privaten, asymmetrischen Krypto-Schlüssel – das ist eine äußerst lange, vollkommen zufällig generierte Abfolge von Kennzeichen. Dieser private Schlüssel bleibt einzig auf dem Gerät des Besitzers gespeichert. Auf allen verknüpften Gerätschaften, beispielsweise dem Laptop oder Smartphone, ist demnach via Passkey-Login kein Benutzername sowie auch kein Passwort mehr notwendig.

Um Passkeys benutzen zu können, sind zweierlei Dinge technisch erforderlich: Das Endgerät muss das „Client to Authenticator Protocol“ (CTAP2) unterstützen, um sicher mit dem Webbrowser kommunizieren zu können. Der Online-Dienst, bei welchem man sich einloggen will, muss hierüber hinaus die „WebAuthentication standard API“ unterstützen (WebAuthn). Das ist eine Schnittstelle, die unabdingbar ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, beglaubigen zu können.

Da Passkeys demzufolge auf den jeweiligen Geräten gelagert werden, drängt sich natürlich sofort eine entscheidende Frage auf: Wie lassen sich die Endgeräte vor unbekannten Zugriffen schützen? Denn in diesem Fall stünden einem Hacker Tür wie Tor offen, sobald er ein fremdes Endgerät in die Finger bekommt. Doch glücklicherweise gibt es dafür bereits Lösungen: Weil die modernen Modelle von Geräten – ob Laptop, Smartphone oder auch Smart-TV – bieten Geräte- sowie auch App-Entsperrung durch biometrische Scans an. Die bekanntesten sind Fingerabdruckscan und Face ID. Auf diese Weise entsteht durch die Kombination aus Passkey plus biometrischen Daten eine extrem sichere Art der Authentifizierung.

Gibt es Passkey nur bei Amazon?

Die Verwendung von Passkeys offeriert eine ganze Reihe von Vorteilen für Nutzer und Firmen. Hierzu zählen eine höhere Sicherheit durch die physische Authentifizierungskomponente, eine verbesserte User Experience durch nahtlose Anmeldung und eine Reduzierung des Risikos von Phishing-Attacken und Passwortdiebstahl. Einige Technologiereisen haben aus diesem Grund auch bereits Passkeys implementiert – zuletzt mit viel Furore der Online-Marktplatz Amazon. Und das wird vermutlich erst der Start sein – Experten gehen davon aus, dass Passkeys sich immer mehr am Markt verbreiten und als Norm eingesetzt werden.

Was denken Sie: Ist die Zukunft der Authentifizierung passwortlos plus physisch?

Bei Fragen zum Thema 2FA sowie Passkeys sprechen Sie uns gerne an.
Wir beraten und unterstützen Sie auf Ihrem Weg hin zu einem sicheren Unternehmen!